配置Amazon Shield Advancedsetup - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置Amazon Shield Advancedsetup

您可以更改Amazon Shield Advanced设置,如修改 Shield Support 团队 (SRT) 对您账户的访问权限,或者添加或删除紧急联系人信息。

注意

要使用 Shield 响应团队 (SRT) 的服务,您必须订阅业务 Support 计划企业 Support 计划.

注意

此处提供的控制台指南适用于Amazon Shield控制台,于 2020 年发布。在控制台中,您可以在版本之间切换。

与Amazon Shield Advanced,您可以使用Amazon如果您的应用程序可能因受到 DDoS 攻击而运行状况不佳,请 Shield 响应团队 (SRT)。

注意

要联系 SRT,您必须订阅业务 Support 计划企业 Support 计划. 如果您没有订购这两个计划,则本节中介绍的某些选项可能不会在您的账户中显示或无法通过Amazon Shield AdvancedAPI。

您可以通过以下方式联系 Shield 响应团队 (SRT):

  • Support 案例— 您可以在Amazon Shield中的Amazon Web Services SupportCenter. 如果您的应用程序运行状况不佳,请使用您的支持计划可使用的最高严重级别创建案例,然后选择 Phone (电话)Chat (聊天) 联系选项。在您的案例描述中,提供尽可能详细的信息。请务必提供有关您认为可能受影响的任何受保护资源以及最终用户体验的当前状态的信息。例如,如果用户体验变差或应用程序的某些部分当前无法可用,请提供该信息。

  • 主动联系— 随着Amazon Shield Advanced主动联系,如果与受保护资源关联的 Amazon Route 53 运行状况检查显示资源在 Shield Advanced 检测到的事件期间运行状况变得不佳,SRT 会直接与您联系。有关此选项的更多信息,请参阅Shield Shield Advanced

授予 SRT 对您指定的特定 API 和 Amazon S3 存储桶的有限访问权限

Amazon Shield Advanced会自动抵御对资源的 DDoS 攻击。Shield Advanced 会检测 Web 应用程序层攻击向量,如 Web 请求泛洪和低速和慢速恶意机器人程序,但不会自动抵御这些向量。要抵御 Web 应用程序层攻击向量,您必须采用Amazon WAF规则,否则 SRT 必须代表您采用这些规则。

注意

Shield Advanced Advanced 会在您保护 Amazon CloudFront 分发和应用程序负载均衡器时检测 Web 应用程序层事件。这些事件会显示应用程序流量统计对比历史基线出现的显著偏差。如果偏差为预期或未影响资源的运行状况,您可以选择不采取任何措施。

如果您授予 Shield Advanced 和Amazon WAFAPI。您可以随时撤销这些访问权限。SRT 工程师只能在您的授权下访问您的 API,并且只能访问您的支持服务所涉及的范围。

(可选)授予 SRT 对 Amazon S3 存储桶的访问权限

为了减少应用程序层事件,您可以共享其他日志数据,例如 Application Load Balancer 访问日志、Amazon CloudFront 日志或来自第三方来源的日志。要让 SRT 查看或处理日志,它们必须位于 Amazon S3 存储桶中,它们必须位于满足以下要求的 Amazon S3 存储桶中:

授权 SRT 代表您处理 Web 应用程序层事件

    • 必须通过以下方式之一管理存储桶:

      • (选项)存储桶位于同一Amazon Web Services 账户作为 Web ACL。

      • (选项)存储桶位于单独的账户中,您已确保 SRT 可以访问它们。如果您的组织中有多个账户,则可以在组织内的任何 Shield 高级账户中使用 Amazon S3 中央存储桶。或者,您可以在没有高级 Shield Advanced 的账户中使用 Amazon S3 存储桶,前提是该存储桶存储Amazon WAFWeb ACL,该 ACL 与受护 Shield 高级保护的资源相关联。

      • (选项)存储桶是日志记录的存储目标,由Amazon Firewall Manager用于Amazon WAF政策。

    • 存储桶可以是明文,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据中的Amazon Simple Storage Service 开发人员指南.

      SRT 无法查看或处理存储在存储桶中的日志,并且存储在Amazon Key Management Service(Amazon KMS)。

    • 高级 Shield 允许您授予 SRT 访问多达 10 个存储桶的权限。如果要向 10 个以上授予权限,则需要手动编辑存储桶策略。

  2. 在Amazon Shield控制台概述页面,在配置AmazonSRT 支持中,选择编辑 SRT 访问.

  3. 对于SRT 访问权限设置下,选择以下项之一:

    • (选项)为 SRT 创建新角色以访问我的帐户— 对于此选项,Shield 会创建角色并自动配置角色以供使用。新角色允许 SRT 访问Amazon Shield Advanced和Amazon WAF资源的费用。它还信任服务主体drt.shield.amazonaws.com,它代表 SRT。

    • (选项)为 SRT 选择现有角色以访问我的帐户— 对于此选项,您必须修改Amazon Identity and Access Management(IAM),如下所示:

      • 将托管策略 AWSShieldDRTAccessPolicy 附加到角色。这些区域有:AWSShieldDRTAccessPolicy托管策略会授予 SRT 对Amazon Shield Advanced和Amazon WAF资源的费用。有关更多信息,请参阅附加和分离 IAM 策略

      • 修改角色以信任 drt.shield.amazonaws.com 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 。IAM JSON 策略元素:委托人.

  4. 对于存储数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称,然后选择添加存储桶. 您最多可以添加 10 个存储桶。

    这将授予 SRT 对存储桶的以下权限:s3:GetBucketLocations3:GetObject, 和s3:ListBucket.

    如果要授予 SRT 访问 10 个以上存储桶的权限,可以通过手动编辑其他存储桶策略来执行此操作。

  5. 选择保存

启用 SRT 主动联系

Shield Advanced Advanced 主动联系可让您在应用程序的可用性受到攻击影响时更快地与 SRT 联系。启用主动联系后,如果 Shield Advanced 事件与 Shield Advanced 事件关联,SRT 会与您联系。

  1. 在Amazon Shield控制台概述页面,在主动参与和联系,在联系人区域中,选择编辑.

    编辑联系人页面上,提供您希望 SRT 联系的人员的联系信息以进行主动参与。

    注意

    如果您提供了多个联系人,请在备注,说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人指定,并提供每个联系人的可用时间和时区。

  2. 选择保存

    这些区域有:概述页面反映了更新的联系信息。

  3. 选择编辑主动联系功能中,选择启用,然后选择Save.